ManualNormativodeRiesgoTecnologico

Manual Normativo de Riesgo Tecnológico

Subdirección General de Planeación y Finanzas

Coordinación de Riesgos

Octubre 2009


MANUAL NORMATIVO DE RIESGO TECNOLÓGICO v1. Noviembre 2009 Gerencia Sr de Riesgos Gerencia de Riesgo Operacional 2

INDICE I. Antecedentes ..................................................................................................... 3 II. Objetivos ........................................................................................................... 4

a. Objetivo General................................................................................................... 4 b. Objetivos Particulares ........................................................................................... 4

III. Alcance ............................................................................................................. 4 IV. Definición y terminología ................................................................................. 4

a. Definición de Riesgo Tecnológico ....................................................................... 4 b. Terminología ........................................................................................................ 4

V. Organización de la Gerencia de Riesgo Operacional ....................................... 6 VI. Marco Jurídico .................................................................................................. 6 VII. Funciones y Responsabilidades ........................................................................ 7 VIII. Políticas ............................................................................................................ 9 IX. Marco Metodológico ...................................................................................... 10

a. Introducción ........................................................................................................ 10 b. Modelo de Administración del Riesgo Tecnológico .......................................... 11

i. Definición del alcance ..................................................................................... 14 ii. Criterios de evaluación, impacto y aceptación de riesgos ............................ 14 iii. Identificación de riesgos............................................................................... 15

1. Identificación de Activos .......................................................................... 15 2. Identificación de Amenazas ..................................................................... 16 3. Identificación de vulnerabilidades ............................................................ 16

iv. Evaluación de riesgos ................................................................................... 17 4. Determinación de frecuencia .................................................................... 17 5. Determinación de Impacto........................................................................ 18 6. Mapa de riesgos tecnológicos ................................................................... 18 7. Análisis de controles ................................................................................. 20 8. Determinación del riesgo residual y niveles de tolerancia. ...................... 21

v. Priorización y tratamiento del riesgo ........................................................... 21 vi. Plan de Tratamiento de Riesgos ................................................................... 22 vii. Monitoreo ..................................................................................................... 22

X. Procedimiento del modelo de administración de Riesgo Tecnológico........... 23 XI. Marco Tecnológico ......................................................................................... 25 XII. Anexos ............................................................................................................ 28

a. Anexo A. ............................................................................................................. 28 b. Anexo B. ............................................................................................................. 31 c. Anexo C. “RT Identificación de Riesgos” ......................................................... 32 d. Anexo D. “RT Inventario de activos” ................................................................ 32 e. Anexo E. “RT Catálogo de amenazas” ............................................................... 32 f. Anexo F. “RT Catálogo de vulnerabilidades” .................................................... 33 g. Anexo G. “RT Análisis de riesgos” .................................................................... 33 h. Anexo H.” RT Riesgo Residual y Niveles de Tolerancia” ................................. 33 i. Anexo I.” RT Layout de Incidencias” ................................................................ 33 j. Anexo J.” RT Indicadores” ................................................................................. 33



I. Antecedentes El avance acelerado al que se han enfrentado diversas organizaciones está estrechamente vinculado con el incremento en el uso de la tecnología de la Información así como la evolución en la forma de su utilización. Este progreso ha permitido que la tecnología de Información se convierta en una herramienta trascendental para diseñar e implementar mejores y más efectivos procesos, generando oportunidades de crecimiento así como la posibilidad de contar con Información veraz y oportuna para una eficaz toma de decisiones. Sin embargo, esto conlleva a tener una dependencia en la Información y en los sistemas que la proporcionan. Este tipo de dependencia trae consigo una serie de riesgos inherentes que las organizaciones deben de enfrentar, a estas exposiciones se les conoce como riesgo tecnológico. Dicho riesgo es parte complementaria al riesgo operacional (definido dentro del Manual Normativo de Riesgo Operacional), el cual mientras exista este entorno, su gestión desempeñará un papel crítico y esencial dentro de las operaciones como factor de control estratégico. El INFONAVIT no es la excepción y la mayor parte de sus operaciones se encuentran sobre una estructura tecnológica, con lo cual se hace más eficiente y oportuna la atención a los derechohabientes y acreditados, sin embargo se está expuesto a problemas inherentes a dichas operaciones los cuales pueden materializarse al no contar con una adecuada administración del riesgo tecnológico. Por tal razón, es de interés del Instituto desarrollar actividades para la administración del Riesgo Tecnológico como una práctica adicional a la administración integral de riesgos en el INFONAVIT que conlleve a minimizar los posibles impactos negativos por su uso y desarrollar una estrategia basada en riesgo tecnológicos que permita fortalecer el proceso de toma de decisiones. Para llevar al Instituto a un estándar internacional en materia de Riesgo Tecnológico, se recomienda observar las mejores prácticas establecidas por el Comité de Basilea así como COBIT (Control Objetives for Information and Related Technology) e ISO (Organización Internacional por la Normalización)/IEC 27001(International Electrotechnical Commission) para su mejor administración y gobierno. Asimismo es interés del INFONAVIT considerar el marco regulatorio definidos por la Comisión Nacional Bancaria y de Valores (CNBV).



II. Objetivos

a. Objetivo General El objetivo del Manual Normativo de Riesgo Tecnológico es la de concientizar a los dueños de los procesos y a los responsables de los sistemas de Información de la existencia de riesgos y de la necesidad de mitigarlos a tiempo, ofreciendo un método sistemático de trabajo definido y repetible para el análisis y evaluación de tales riesgos, para ayudar a descubrir y planificar las medidas oportunas para mantener los riegos de TI bajo control de acuerdo a las mejores prácticas.

b. Objetivos Particulares • Preparar al Instituto para el proceso de administración de Riesgo Tecnológico

en base a un marco de referencia constituido de las mejores prácticas como COBIT e ISO/IEC 27001 buscando la uniformidad en el marco de trabajo para le gestión del Riesgo Tecnológico.

• Contar con un método para poder identificar, evaluar, administrar, controlar y reportar los riesgos tecnológicos que enfrenta el Instituto, con el fin de mitigar o eliminar el posible impacto negativo de dichos riesgos en Instituto.

III.Alcance De aplicación general para todas las áreas del Instituto y los procesos que tengan implícito un riesgo tecnológico. Advertencia: El contenido del presente manual es responsabilidad de la Gerencia de Riesgo Operacional, perteneciente a la Gerencia Sr. de Riesgos. Cualquier acción de cambio o alteración, sin la aprobación correspondiente de la Gerencia Sr de Riesgos, será sancionada acorde al Código de Ética del Instituto.

IV.Definición y terminología

a. Definición de Riesgo Tecnológico El Riesgo Tecnológico es la pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribución de Información que el Instituto dispone para prestar sus servicios.

b. Terminología Activo Recursos del sistema de Información o relacionados con

éste, necesarios para que el Instituto funcione correctamente.

Administración Integral de Riesgos

Conjunto de objetivos, políticas, procedimientos y acciones que se llevan a cabo para identificar, medir, vigilar, limitar, controlar, informar y revelar los distintos riesgos a que se



encuentra expuesto el Instituto. Amenaza Agente o circunstancia capaz de explotar una o más

vulnerabilidades. COBIT (Control Objetives for Information and Related Technology)

mejor práctica aplicada en material de control y seguridad de TI emitido por ISACA (Information Systems Audit and Control Foundation)

Confidencialidad Protección de datos personales o Información clasificada como confidencial en términos de los Lineamientos de Transparencia y Acceso a la Información del Instituto, por lo cual su divulgación no está autorizada.

Control Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para procurar que los objetivos del negocio sean alcanzados y que los riesgos detectados sean prevenidos, detectados o corregidos.

Disponibilidad Acceso y utilización de la Información y los sistemas cuando se requieran.

Dueño de Proceso Gerente responsable del diseño, aprobación e implementación de un proceso y subproceso específico.

Evento Es algo que sucede en un lugar y tiempo particular. Hardware Componentes físicos de un sistema computacional. Indicador Definición de datos que ayudan a medir objetivamente la

evolución de una actividad o una tarea, así como la efectividad de un control para mitigar un riesgo.

Información Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada.

Instituto Instituto del Fondo Nacional de la Vivienda para los Trabajadores (INFONAVIT)

Integridad Mantenimiento de la exactitud y completitud de la Información y sus métodos de proceso.

ISO /IEC 27001 Estándar para la seguridad de la Información publicado como por International Organization for Standardization (ISO) y por la International Electrotechnical Commission (IEC).

Nivel de tolerancia al riesgo

Es la magnitud permisible de exposición a un riesgo no discrecional para el Instituto en su totalidad.

Proceso Conjunto ordenado de etapas y pasos con características de acción interrelacionada, dinámica y progresiva que concluye con la obtención de un resultado.

Riesgo Es la exposición a la posibilidad de ocurrencia de eventos tales como pérdida o ganancia económica, daño físico, retrasos, etc., que surgen como consecuencia de seguir un curso particular de acción. El concepto de riesgo tiene dos elementos: la probabilidad de que algo ocurra y las consecuencias de si esto ocurre (impacto o severidad).

Riesgo Operacional Es aquel que puede provocar pérdidas directas o indirectas como resultado de errores humanos, procesos internos inadecuados o defectuosos, controles internos inadecuados,

Manual Normativo de Riesgo

MANUAL NORMATIVO DE RIESGO TECNOLÓGICOGerencia Sr de Riesgos Gerencia de Riesgo Operacional

fallas en los sistemas y a consecuencia de acontecimientos externos originados dentro de la propia operación del Instituto

Riesgo residual El riesgo asociado con un se está llevando a cabo.

Seguridad Actividades encaminadas a preservar integridad y disponibilidad de la los sistemas implicados en su tratamiento.

Software Ey rutinas asociadas con la operación de un sistema computacional.

Vulnerabilidad Debilidades o defectos en la infraestructura de seguridad de una organización.

V.Organización de la Gerencia de Riesgo Operacional

Para consultar la descripción de cada uno de los puestos que integran la Gerencia de Riesgo Operacional y Legal (Ver

VI. Marco Jurídico Interno

a. Ley del INFONAVITb. Estatuto Orgánicoc. Manual Integral de Administración de Riesgosd. Lineamientos en Materia de Control Interno, en los punto

• 10.- • 12.-

personal facultado• 15.-

(T.I.): 1 En la sesión extraordinaria número 88, celebrada el 29 de agosto de 2005, la H. Asamblea General del INFONAVIT tomó el acuerdo número 1221, mediante el cual se aprobaron las refNacional de la Vivienda para los Trabajadores.

Consultor JR

Administración

del Riesgo

Operacional


RIESGO TECNOLÓGICO

Gerencia de Riesgo Operacional 6

fallas en los sistemas y a consecuencia de acontecimientos externos originados dentro de la propia operación del Instituto. El riesgo asociado con un evento después de que un control se está llevando a cabo. Actividades encaminadas a preservar la confidencialidad, integridad y disponibilidad de la Informaciónlos sistemas implicados en su tratamiento. Es un conjunto de programas, documentos, procedimientos, y rutinas asociadas con la operación de un sistema computacional. Debilidades o defectos en la infraestructura de seguridad de una organización.

Organización de la Gerencia de Riesgo Operacional

Para consultar la descripción de cada uno de los puestos que integran la Gerencia de Riesgo Operacional y Legal (Ver Anexo A).

Ley del INFONAVIT Estatuto Orgánico1, artículo 22. Manual Integral de Administración de Riesgos Lineamientos en Materia de Control Interno, en los punto

Plan de Continuidad La autorización y procesamiento de las operaciones por

personal facultado Asegurar que en materia de Tecnologías de la

(T.I.):

En la sesión extraordinaria número 88, celebrada el 29 de agosto de 2005, la H. Asamblea General del INFONAVIT tomó el acuerdo número 1221, mediante el cual se aprobaron las reformas al Estatuto Orgánico del Nacional de la Vivienda para los Trabajadores.

Gerencia de

Riesgo

Operacional

Consultor JR

Administración

del Riesgo

Operacional

Consultor JR

Riesgo

Tecnológico

v1. Noviembre 2009

fallas en los sistemas y a consecuencia de acontecimientos externos originados dentro de la propia operación del

después de que un control

la confidencialidad, Información, así como de

programas, documentos, procedimientos, y rutinas asociadas con la operación de un sistema

Debilidades o defectos en la infraestructura de seguridad de

Organización de la Gerencia de Riesgo Operacional

Para consultar la descripción de cada uno de los puestos que integran la Gerencia de

Lineamientos en Materia de Control Interno, en los puntos:

La autorización y procesamiento de las operaciones por

en materia de Tecnologías de la Información

En la sesión extraordinaria número 88, celebrada el 29 de agosto de 2005, la H. Asamblea General del INFONAVIT ormas al Estatuto Orgánico del Instituto del Fondo



i. Que existan mecanismos de seguridad e integridad de la Información.

ii. Que existan mecanismos para prevenir el acceso y uso indebido.

iii. Que se encuentren documentados y actualizados los procesos, aplicaciones y metodologías.

iv. Que tengan procesos de prueba previos a la operación. v. Que exista un Programa de Contingencias actualizado y

difundido, que asegure el respaldo y recuperación de la Información y de los sistemas.

vi. Que existan convenios de niveles de servicio. vii. Que se cuente con licencias y autorizaciones para T. I. viii. Que se incorporen mecanismos, medidas y controles

previstos por la Contraloría Interna para propiciar su cumplimiento.

e. Lineamientos de Seguridad de la Información.

Externa a. Ante la ausencia de un marco legal aplicable al Instituto en materia de

Administración Integral de Riesgos, éste ha procurado adoptar e implementar las mejores prácticas en dicha materia, apegándose, en todo momento, a su naturaleza y marco jurídico particular, tomando en consideración las disposiciones contenidas en la Circular Única de Bancos, Título segundo, Capítulo IV: Administración de Riesgos; que el Instituto desarrollará en el marco de sus facultades para administrar el Riesgo tecnológico. (Ver Anexo B)

VII.Funciones y Responsabilidades La Gerencia de Riesgo Operacional deberá:

i. Proponer el marco de gestión del Riesgo Tecnológico, así como, las políticas y procedimientos para la identificación, evaluación y control, así como, la implantación de métodos cualitativos y cuantitativos que permitan permear una cultura de riesgos en el Instituto.

ii. Definir el alcance de la identificación y evaluación de riesgos. iii. Coordinar con los responsables de los procesos y/o subprocesos el

cumplimiento del presente Manual Normativo, de forma que se complementen los Lineamientos en Materia de Control Interno.

iv. Informar al menos de manera bimestral a través del reporte de riesgos, acerca de las exposiciones, incidencias y comportamiento de Indicadores relativos al riesgo tecnológico a la Gerencia Sr de Riesgos, Subdirecciones Generales, al Comité de Riesgos y al Comité de Auditoría.

v. Revisar y actualizar el Manual Normativo de Riesgo Tecnológico, cuando menos, una vez al año y/o cuando por cambios en el Instituto lo demande.



Consultor Jr. de Riesgo Tecnológico deberá:

i. Capacitar al Dueño de Proceso, cuando lo requiera, para identificar y evaluar los riesgos tecnológicos inherentes de acuerdo al presente manual normativo.

ii. Apoyar a los responsables facultados, del tratamiento de los riesgos a desarrollar (remediar, monitorear u optimizar el control).

iii. Seguimiento y retroalimentación de las respuestas de riesgo. iv. Análisis de desviaciones en Riesgo Tecnológico. v. Definir y monitorear los Indicadores por Riesgo Tecnológico. vi. Diseñar, desarrollar e implementar una base de datos histórica de exposición de

riesgos, identificada en cada activo y subproceso, así como, de las incidencias por Riesgo Tecnológico.

vii. Actualizar al menos una vez al mes la base de datos por riesgo tecnológico, a través del registro de incidencias que se tengan por conocimiento de las diferentes fuentes de Información y en su caso verificar que el monto de pérdida esté reflejado dentro de la contabilidad del Instituto.

Los Dueños de Proceso deberán:

i. Identificar y evaluar los riesgos tecnológicos inherentes a su proceso. ii. Determinar las causas y efectos derivados de los riesgos identificados. iii. Reportar la incidencia de eventos derivados de un riesgo tecnológico en cada área del Instituto.

iv. Participar en las sesiones de medición y cuantificación del riesgo tecnológico. v. Implementar, aplicar, mantener y actualizar el Sistema de Control Interno, cuyas acciones preventivas y correctivas, permitirán la mitigación y control del riesgo tecnológico.

vi. Elaborar, establecer y dar mantenimiento a las políticas y procedimientos que afecten a su área.

vii. Proporcionar Información relacionada con el seguimiento en las acciones referentes a las respuestas de Riesgos Tecnológicos.

viii. Proporcionar la Información relacionada a cada uno de los Indicadores de los Riesgos Tecnológicos detectados.

ix. Mantener una estrecha comunicación con su área así como con la Gerencia ROp de cualquier índole en relación al riesgo tecnológico que contribuya a una mejora continua así como de Control Interno.

x. Informar, difundir e implementar a sus reportes las estrategias de cultura de riesgo tecnológico.

Gerencia de Control Interno deberá: xi. Apoyar en la definición de controles para los riesgos tecnológicos identificados. xii. Dar consultoría en materia de Control Interno (procesos, proyectos y

productos). xiii. Vigilar que las políticas y procedimientos de operación cumplan con los

aspectos de Control Interno emitidos. xiv. Analizar y detectar en conjunto con el área de Riesgo Tecnológico los procesos

con mayor exposición al riesgo.



xv. Apoyar en la priorización de los riesgos en conjunto con el área de Riesgo Tecnológico.

xvi. Documentar los hallazgos detectados en las verificaciones de procesos y procedimientos.

xvii. Dar seguimiento a la atención de hallazgos de la Auditorías tanto Internas como Externas, así como de la CNBV o por solicitud de los Órganos de Gobierno.

Gerencia de Calidad y Arquitectura de Procesos Institucional deberá:

i. Establecer y administrar la metodología para la documentación de procesos y

subprocesos de acuerdo a las mejores prácticas, asegurando la consistencia operativa.

ii. Asesorar y proporcionar las herramientas necesarias a todas las áreas del Instituto para la documentación de los procesos y subprocesos que describen el quehacer de cada área del Instituto, cuando se trate de una actualización, modificación o desarrollo de un nuevo proceso de acuerdo a la Metodología para la definición y documentación de los Modelos de Operación PRO_00007.

iii. Comunicar la necesidad de hacer un análisis de riesgos cuando se actualice, modifique o desarrolle un proceso.

VIII.Políticas Gerencia de Riesgo Operacional i. La Gerencia ROp deberá implantar a través del manual normativo de gestión

del Riesgo Tecnológico, las políticas y procedimientos para la identificación, evaluación y control así como la implantación de métodos cualitativos y cuantitativos necesarios para evaluar el riesgo.

ii. La Gerencia ROp deberá informar al menos de manera bimestral, a través de la emisión del reporte de riesgos, a la Gerencia Sr de Riesgos, a las Subdirecciones Generales y al Comité de Riesgos acerca de las exposiciones, incidencias y el comportamiento de Indicadores relativos al riesgo tecnológico.

iii. La Gerencia ROp revisará y actualizará el Manual Normativo de Riesgo Tecnológico cuando menos una vez al año y/o cuando por cambios en el Instituto se demande.

iv. La Gerencia ROp deberá asesorar en materia de Riesgo Tecnológico a los Dueños de Procesos para lograr una adecuada implementación del presente Manual Normativo.

Dueños de Procesos

i. El Dueño del Proceso deberá evaluar constantemente sus procedimientos,

riesgos, controles e indicadores, así como llevar a cabo las acciones correctivas que deriven de dichas revisiones como mecanismo de autocontrol.

ii. El Dueño del Proceso deberá identificar y evaluar los riesgos tecnológicos inherentes a los procesos y activos bajo su responsabilidad de acuerdo al presente manual normativo.



iii. El Dueño del Proceso podrán trabajar bajo un enfoque cualitativo siempre y cuando no se tenga incidencia del riesgo y únicamente se cuente con la experiencia del responsable del subproceso.

iv. El Dueño de Proceso deberá establecer las respuestas al riesgo apropiados para la mitigación y control cada vez que se identifique un riesgo además de monitorear su funcionamiento.

v. El Dueño de Proceso deberá trabajar en la definición de los controles, bajo un enfoque preventivo y proactivo, desplazando una perspectiva reactiva cada vez que se identifique una posible exposición.

vi. El Dueño de Proceso deberá reportar la incidencia de eventos de pérdida así como la exposición de posibles riesgos a la Gerencia ROp inmediatamente después de que se hayan identificado.

vii. El Dueño de Proceso deberá difundir a sus reportes de manera constante, las estrategias de cultura de Riesgo Tecnológico que permita el éxito de la implementación correspondiente.

Gerencia de Control Interno i. La Gerencia de Control Interno deberá asegurar que los controles definidos por

los Dueños de Proceso se documenten como actividades en procedimientos, mitiguen al riesgo identificado a través de la supervisión y monitoreo de éstos.

ii. La Gerencia de Control Interno deberá validar que los controles sugeridos sean implementados para mitigar los riesgos en tiempo y forma.

Gerencia de Calidad y Arquitectura de Procesos Institucional

i. La Gerencia de Calidad y Arquitectura de Procesos Institucional deberá apoyar

a todas las áreas del Instituto en la documentación de los procesos y subprocesos que describen el quehacer de cada área del Instituto, cuando se trate de una actualización, modificación o desarrollo de un nuevo subproceso de acuerdo con la Metodología para la definición y documentación de los Modelos de Operación PRO_00007, incluyendo la comunicación de la necesidad de que éstos cuenten con un análisis de riesgos.

IX. Marco Metodológico

a. Introducción La administración de riesgos es el proceso en el que se identifican sistemáticamente, se evalúan y controlan los eventos no deseados que pueden ocasionar un cambio tecnológico considerando lo siguiente:

• Tiene que haber un cambio en el entendimiento de los procesos y sistematización del análisis de dependencias y riesgos de tecnología de Información.

• Continuamente se está en una nueva era de peligros, regulaciones y oportunidades.

• Se requiere detectar los riesgos actuales, permitiendo conocer las amenazas y debilidades y convertirlas en oportunidades y fortalezas

• El no detectar el riesgo no implica que no exista.



• El haber detectados riesgos una vez no ies un proceso dinámico y por ello su administración es un proceso cíclico.

• La administración del día a día del Instituto

b. Model o de Administración del Riesgo Tecnológico El Instituto requiere de una metodología de identificación y evaluación del riesgo tecnológico para determinar el grado en las materializarse tomando en cuenta en su conjunto a los activos, las amenazasvulnerabilidades y los controles para así poder determinar el riesgo y ser capaces de administrarlo adecuadamente.

La metodología de administración de principalmente en dos marcos de referencia generalmente aplicable y aceptado: el primero de ellos es COBIT (Control Objetives for Information and mejor práctica aplicada en material de controISACA (Information Systems Audit. and Control Foundation) y el segundo es ISO27001 que es el estándar parade Gestión de Seguridad de ISO(Organización Internacional por la Normalización)Electrotechnical Commission)

1º. COBIT El uso del marco de trabajo COBIT para la administración de riesgosprincipio de proporcionar la objetivos, su necesidad de administrar y controlar los recursos de TI y sus riesgos relacionados, usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de Información. El modelo de referencia COBIT se encuentra estructurado en:

1.- Requerimientos de Información

Ejecutar

Monitorear


RIESGO TECNOLÓGICO


El haber detectados riesgos una vez no implica que permanezcan constantes, es un proceso dinámico y por ello su administración es un proceso cíclico.La administración del Riesgo Tecnológico debe incorporarse a las funciones del

Instituto a través de Controles e Indicadores.

o de Administración del Riesgo Tecnológico

requiere de una metodología de identificación y evaluación del riesgo tecnológico para determinar el grado en las amenazas potenciales pueden materializarse tomando en cuenta en su conjunto a los activos, las amenazas

y los controles para así poder determinar el riesgo y ser capaces de administrarlo adecuadamente.

La metodología de administración de Riesgo Tecnológico del Institutoprincipalmente en dos marcos de referencia generalmente aplicable y aceptado: el primero de ellos es COBIT (Control Objetives for Information and Related Technology) mejor práctica aplicada en material de control y gobernabilidad de TI emitido por ISACA (Information Systems Audit. and Control Foundation) y el segundo es ISO27001 que es el estándar para establecer, implantar, mantener y mejorar un Sistema de Gestión de Seguridad de Información y es emitido conjuntamente

(Organización Internacional por la Normalización) y la IEC (International Electrotechnical Commission).

marco de trabajo COBIT para la administración de riesgosprincipio de proporcionar la Información que el Instituto requiere para lograr sus objetivos, su necesidad de administrar y controlar los recursos de TI y sus riesgos

usando un conjunto estructurado de procesos que ofrezcan los servicios .

ferencia COBIT se encuentra estructurado en: Información

Plan de

Administración de

Riesgos

Identificar

Evaluar

Priorizar

Plan de

Remediación

Ejecutar

Monitorear

v1. Noviembre 2009

mplica que permanezcan constantes, es un proceso dinámico y por ello su administración es un proceso cíclico.

ecnológico debe incorporarse a las funciones del

o de Administración del Riesgo Tecnológico

requiere de una metodología de identificación y evaluación del riesgo potenciales pueden

materializarse tomando en cuenta en su conjunto a los activos, las amenazas, las y los controles para así poder determinar el riesgo y ser capaces de

Instituto está basada principalmente en dos marcos de referencia generalmente aplicable y aceptado: el

elated Technology) de TI emitido por

ISACA (Information Systems Audit. and Control Foundation) y el segundo es ISO/IEC establecer, implantar, mantener y mejorar un Sistema

conjuntamente por IEC (International

marco de trabajo COBIT para la administración de riesgos, se basa en el requiere para lograr sus

objetivos, su necesidad de administrar y controlar los recursos de TI y sus riesgos usando un conjunto estructurado de procesos que ofrezcan los servicios



• Efectividad. Se refiere a que la Información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable

• Eficiencia. Se refiere a la provisión de Información a través de la utilización óptima (más productiva y económica) de recursos

• Confidencialidad. Se refiere a la protección de Información sensible contra divulgación no autorizada.

• Integridad. Se refiere a la precisión y suficiencia de la Información, así como a su validez de acuerdo con los valores y expectativas de la organización.

• Disponibilidad. Se refiere a la disponibilidad de la Información cuando ésta es requerida. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.

• Cumplimiento. Se refiere al ejercicio de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocio está sujeto.

• Confiabilidad. Se refiere a la provisión de Información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y cumplimiento.

2.- Recursos de TI

• Aplicaciones. Incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan Información.

• Información. Son los datos en todas sus formas de entrada, procesados y generados por los sistemas de Información, en cualquier forma en que son utilizados por el negocio.

• Infraestructura. Es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.

• Gente. Es el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de Información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

3.- Procesos de TI

• Dominios • Procesos • Actividades

COBIT está formado por objetivos de control, los cuales se encuentran asociados a riesgos por el hecho de apoyarse de tecnología de Información para la operación del Instituto. Las actividades que buscan mitigar los riesgos se encuentran divididas en 4 grandes dominios:

• Planeación y Organización • Adquisición e Implementación • Entrega y Soporte • Monitoreo



2º. ISO/IEC 27001

El uso del estándar ISO (Organización Internacional por la Normalización)/IEC 27001(International Electrotechnical Commission)de Seguridad de la InformaciónInformación en base a políticas, procedimientos y acciones necesarias para afrontar tales riesgos y así garantizar la disponibilidad, confidencialidad e integridad de la Información. La norma ISO/IEC 27001 se encuentra

1.- Plan (Planear) - Establecer que hacer y cómo para satisfacer la política y objetivos de seguridad de la Información2.- Do (Hacer) – Poner en práctica lo planeado3.- Check (Checar) - Verificar si se ha hecho lo planificado y si lo que se ha heceficiente. 4.- Act (Actuar) – Establecer las acciones de cómo y que mejorar. Así mismo la norma indica que práctica en cuestión de seguridad de la

� Política de seguridad� Organización de la Seguridad de la


RIESGO TECNOLÓGICO


ISO/IEC 27001 ISO (Organización Internacional por la Normalización)/IEC

27001(International Electrotechnical Commission) para la administración de los riesgos Información reforzando la protección de los sistemas y redes de

en base a políticas, procedimientos y acciones necesarias para afrontar tales riesgos y así garantizar la disponibilidad, confidencialidad e integridad de la

La norma ISO/IEC 27001 se encuentra basado en el Ciclo PDCA (Plan, Do, Check, Act):

Establecer que hacer y cómo para satisfacer la política y objetivos Información.

Poner en práctica lo planeado Verificar si se ha hecho lo planificado y si lo que se ha hec

Establecer las acciones de cómo y que mejorar.

Así mismo la norma indica que objetivos de control se deben tener como mejor práctica en cuestión de seguridad de la Información, divididos de la siguiente forma:

de seguridad. Organización de la Seguridad de la Información.

PLAN

DO

CHECK

ACT

v1. Noviembre 2009

ISO (Organización Internacional por la Normalización)/IEC para la administración de los riesgos

reforzando la protección de los sistemas y redes de en base a políticas, procedimientos y acciones necesarias para afrontar

tales riesgos y así garantizar la disponibilidad, confidencialidad e integridad de la

el Ciclo PDCA (Plan, Do, Check, Act):

Establecer que hacer y cómo para satisfacer la política y objetivos

Verificar si se ha hecho lo planificado y si lo que se ha hecho es

se deben tener como mejor divididos de la siguiente forma:



� Administración de Activos. � Seguridad de Recursos Humanos. � Seguridad física y ambiental. � Administración de comunicaciones y operaciones. � Control de acceso. � Adquisición, mantenimiento y desarrollo de sistemas de Información. � Administración de los incidentes de seguridad de la Información. � Administración de la continuidad de negocio. � Cumplimiento.

i. Definición del alcance El primer paso es definir el alcance para determinar los límites de la evaluación, los recursos y la Información existente. La definición del alcance del análisis de riesgos se realiza considerando:

• Los objetivos estratégicos del Instituto y sus políticas. • Los procesos de negocio Institucionales. • Las funciones y estructura organizacional. • Requerimientos legales, contractuales y normativos. • La política de seguridad institucional. • El enfoque general institucional para la valoración del riesgo. • Los activos de Información críticos. • Recursos disponibles (financieros, humanos).

ii. Criterios de evaluación, impacto y aceptación de riesgos Previo a la Identificación es necesario establecer los criterios de evaluación, criterios de impacto y de aceptación del riesgo. Dichos criterios serán establecidos considerando lo siguiente:

a. Criterios de evaluación: i. La criticidad del activo de Información involucrado. ii. Requerimientos legales, regulatorios y contractuales. iii. Importancia en la operación y en el negocio de la disponibilidad,

confidencialidad y disponibilidad. iv. Expectativas y percepciones de las partes interesadas y

consecuencias negativas sobre la imagen y reputación. b. Criterios de impacto:

i. Niveles de clasificación de los activos de Información impactados.(magnitud del impacto)

ii. Brechas en la seguridad de la Información (impacto a la confidencialidad, integridad y disponibilidad).

iii. Problemas en la operación. iv. Pérdida del valor del negocio o financieras. v. Alteración de planes o fechas de entrega. vi. Brechas legales, regulatorias o requerimientos contractuales.

c. Criterio de aceptación del riesgo: i. Criterios del negocio. ii. Aspectos legales, regulatorios y legales.



iii. Operaciones. iv. Tecnología. v. Finanzas. vi. Factores Sociales.

iii. Identificación de riesgos El levantamiento de riesgos se basa en la aplicación de cuestionarios y entrevistas, revisión de documentos del Instituto, reportes de auditoría o análisis previos. Así mismo es importante remarcar que al utilizar como marcos de referencia COBIT e ISO/IEC 27001 también se cubrirán los riesgos tecnológicos relacionados en sus objetivos de control que sean aplicables al Instituto. Identificar dentro de la gestión de Riesgo Tecnológico, consiste en ubicar los activos a evaluar y determinar sus amenazas y vulnerabilidades. Así al tener identificados los activos, amenazas y vulnerabilidades llegamos a lo que es un riesgo tecnológico el cual se define como el potencial de que dada una amenaza, explote una vulnerabilidad en un activo o grupo de activos para causar pérdidas o daños a esos activos.

Riesgo = Activo * Amenaza * Vulnerabilidad La identificación de riesgos se apoya del formato “RT Identificación de Riesgos” (Ver Anexo C) bajo el cual se utilizará para documentar las exposiciones a las cuales se está expuesto.

1. Identificación de Activos

Se denominan activos, a los recursos de Tecnología de Información necesarios para que el Instituto funcione correctamente. El activo esencial es la Información que maneja el sistema, y alrededor de estos datos se pueden identificar otros activos relevantes como:

• Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos.

• Las aplicaciones informáticas (Software) que permiten manejar los datos. • Los equipos informáticos (Hardware) y que permiten hospedar datos,

aplicaciones y servicios. • Interfases entre los sistemas. • Dispositivos de almacenamiento de datos. • Las redes de comunicaciones que permiten intercambiar datos. • Las instalaciones donde residen los equipos informáticos y de comunicaciones. • Las personas que explotan u operan todos los elementos anteriormente citados.

Los activos identificados deben ser documentados en un inventario, para lo cual el registro es apoyado por el “RT Inventario de activos” (Ver Anexo D).



2. Identificación de Amenazas

El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo y obtener un extracto de las amenazas potenciales, las cuales son aplicables para la tecnología que estamos evaluando. Una amenaza, es un agente o circunstancia capaz de explotar accidentalmente o intencionalmente una vulnerabilidad. No todas las amenazas afectan a todos los activos, sin embargo existe cierta relación entre el tipo de activo y lo que le podría ocurrir. Es importante considerar todas aquellas fuentes de amenaza que pueden causar daño tecnológico, como pueden ser:

• Naturales: Inundación, terremotos, tornados, huracanes, derrumbes, tormentas eléctricas, etc.

• Humanas: Acontecimientos causados por seres humanos sin intención (entrada incorrecta de datos) o acciones deliberadas (ataques contra la seguridad, infección de virus, acceso no autorizado a Información confidencial)

• Ambientales: Contaminación, apagones, entre otros. La motivación y los recursos para realizar un ataque hacen a los seres humanos potencialmente peligrosos y existen diferentes tipos como son:

• Criminales computacionales • Espionaje industrial • Personas que pertenecen a la organización

Las amenazas identificadas deben ser documentadas en un catálogo Institucional de amenazas tecnológicas, para lo cual el registro es apoyado por el “RT catálogo de amenazas” (Ver Anexo E).

3. Identificación de vulnerabilidades Consiste en determinar las vulnerabilidades que pueden ser explotadas por las amenazas y recopilar la Información necesaria que permita la identificación de las vulnerabilidades que son aplicables para la tecnología que estamos evaluando. Una vulnerabilidad es un defecto o una debilidad en procedimientos de seguridad, deficiencia en diseño o implementación de controles internos que podrían ser explotados y que resulte en una apertura de la seguridad. La identificación de vulnerabilidades puede ser principalmente:

• Desarrollar una lista de requerimientos de seguridad • Realizar pruebas de seguridad de los sistemas • Preguntarse qué puede pasar si el evento ocurre



Las vulnerabilidades identificadas deben ser documentados en un catálogo Institucional de vulnerabilidades tecnológicas, para lo cual el registro es apoyado por el “RT catálogo de vulnerabilidades” (Ver Anexo F).

iv. Evaluación de riesgos La evaluación de riesgos se basa en la medición del impacto y la frecuencia que se determinan en función de escenarios o criterios de categorización; es decir, clasificar el riesgo según su grado de afectación y estimación de la periodicidad de ocurrencia dentro de un proceso para un área. Es una medición subjetiva dado a que se especifica con base a la experiencia y sensibilidad que tenga el responsable del proceso en su área por lo que no es un método totalmente acertado. Para trabajar bajo este enfoque cualitativo, se toma como herramienta la auto-evaluación que consiste en identificar los riesgos a través del mapeo de procesos, evaluación de control existente, determinación de puntos de mejora que se debe realizar y definición de Indicadores. La finalidad del enfoque cualitativo, permite detectar fortalezas y debilidades del ambiente tecnológico y sus potenciales riesgos a los que el Instituto está expuesto La evaluación de riesgos se apoya del formato “RT Análisis de Riesgos” (Ver Anexo G) bajo el cual se utilizará para documentar los valores obtenidos en la medición de los riesgos a los cuales se está expuesto.

4. Determinación de frecuencia Para determinar la probabilidad de que una vulnerabilidad potencial que puede ser ejercida, se tienen que tomar en cuenta los factores como la motivación o la capacidad de la fuente de la amenaza, así como, la naturaleza de la vulnerabilidad. La probabilidad de ocurrencia o frecuencia en que las fuentes de amenaza se presenten y exploten una vulnerabilidad potencial puede ser clasificada como:

Clasificación Frecuencia Descripción 5

Esperado

Indica que los eventos derivados de un riesgo tecnológico se han presentado o se pueden presentar con un comportamiento muy a menudo durante un tiempo determinado, es decir, que la incidencia de los riesgos es muy común y constante.

4

Muy Probable

Indica que los riesgos identificados se han presentado o se puede presentar de manera común dentro de un proceso tecnológico.

3

Probable

Indica que la incidencia del riesgo se ha presentado o se puede presentar con una repetición frecuente durante un tiempo determinado.

2

Poco Probable

Indica que los riesgos identificados se han presentado o se pueden presentar de forma ocasional durante un



tiempo determinado. 1

Remoto

La incidencia de riesgos es inusual que se presente o incluso nunca se había presentado una situación similar.

5. Determinación de Impacto Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza. Para determinar el impacto se toman en cuenta diferentes factores, en los cuales la tecnología de Información puede ser afectada como:

• Pérdida de confidencialidad: se refiere a la falta de aseguramiento de que la Información es accesible sólo para aquellos autorizados a tener acceso.

• Pérdida de integridad: se refiere a la falta mantenimiento de la exactitud y completitud de la Información y sus métodos de proceso.

• Pérdida de disponibilidad: se refiere a la falta de acceso y utilización de la Información y los sistemas cuando se requieran.

El impacto causado por una acción acertada de una amenaza puede ser clasificada de la siguiente manera: Clasificación Impacto Descripción

5

Critico

Riesgos extremadamente severos que conlleva a una pérdida altamente costosa que puede llevar a la pérdida de ingresos o afectar totalmente el patrimonio del Instituto por eventos que se presentaron o se pueden presentar en algún momento dado.

4

Alto

Fuerte pérdida por eventos derivados de un riesgo severo que puede llegar a provocar interrupción de una parte de las operaciones del Instituto.

3

Moderado

Pérdida derivada de una posible contingencia produciendo inconvenientes significativos en el Instituto.

2

Bajo

Pérdida menor derivada de riesgos que pueden llegar a provocar algún inconveniente en el Instituto.

1

Menor

Pérdida mínima derivada de riesgos que no afectan la productividad del Instituto o pueden producir o generaron inconvenientes menores.

6. Mapa de riesgos tecnológicos De acuerdo a la categorización del riesgo por su impacto y frecuencia, se pueden graficar los riesgos para identificar aquellos que son inherentes del Instituto al usar tecnología.



El mapa de riesgos es uno de los medios que permiten identificar factores de riesgos y cuantificación de frecuencias e impactos (cualitativamente) a través de un consenso de grupos de trabajo, entrevistas, cuestionarios y evaluaciones independientes, aprovechando la estadística disponible por incidencias o de lo contrario la experiencia de los responsables de cada área sustantiva o de apoyo y soporte, se jerarquizan los riesgos del Instituto, determinando un punto de partida para desarrollar un marco completo para la administración del riesgo tecnológico. Cada cuadrante localizado en la gráfica permite visualizar el nivel de exposición que se tiene por cada una de los riesgos.

Impacto

Menor Bajo Moderado Alto Critico

1 2 3 4 5

Fre

cuen

cia

Esperado 5 Medio Medio Alto Extremo Extremo

Muy Probable 4 Moderado Medio Medio Alto Extremo

Probable 3 Moderado Moderado Medio Alto Alto

Poco Probable 2 Bajo Moderado Medio Medio Alto

Remoto 1 Bajo Bajo Moderado Medio Medio

El riesgo de acuerdo a su frecuencia e impacto se clasifica en el mapa de riegos como:

Clasificación Frecuencia Descripción 5

Extremo

Indica que el riesgo tiene una gran probabilidad de ocurrencia y un impacto crítico para la institución en caso de materializarse.

4

Alto

Indica que el riesgo tiene una alta probabilidad de ocurrencia y un fuerte impacto para la institución en caso de materializarse.

3

Medio

Indica que el riesgo tiene una probabilidad de ocurrencia media e impacto significativo para la institución en caso de materializarse.

2

Moderado

Indica que el riesgo tiene cierta probabilidad de ocurrencia e impacto considerable para la institución en caso de materializarse.

1

Bajo

Indica que el riesgo tiene una mínima probabilidad de ocurrencia e impacto menor para la institución en caso de materializarse.



Al clasificar los riesgos a los que está expuesto el Instituto por frecuencia e impacto se tiene como resultado el mapa de riesgos con un listado de riesgos absolutos bajo un enfoque cualitativo.

7. Análisis de controles Los controles son las medidas utilizadas para prevenir o reducir el impacto de eventos no deseados, los métodos de control pueden ser técnicos (hardware, software) o no técnicos (políticas de seguridad, procedimientos administrativos y operacionales, seguridad física). Los controles por su naturaleza pueden ser clasificados en:

• Preventivo: son los que actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia, y constituyen la primera línea de defensa. También actúan para reducir la acción de los agentes generadores de riesgos

• Defectivo: son los que se diseñan para descubrir un evento, irregularidad o resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas.

• Correctivo: son los que permiten el restablecimiento de la actividad después de ser detectado el evento no deseable y la modificación de las acciones que propiciaron su ocurrencia.

• Manual: son los ejecutados por personas. • Automatizado: son los ejecutados por sistemas de Información.

Los controles deben ser suficientes, comprensibles, eficaces y oportunos, para esto, es preciso conocer la naturaleza de los riesgos y su frecuencia, así como las consecuencias que implican para que las actividades y los procesos mantengan el rumbo del Instituto. Los controles serán establecidos y alineados en base a los objetivos de control aplicables para cada riesgo justificando en cada uno de los casos su selección o exclusión de acuerdo a los 4 dominios de COBIT y los controles correspondientes a los 11 dominios señalados en el estándar ISO/IEC 27001. El análisis de la Aplicabilidad de los controles se encuentra apoyado por el documento “RT Aplicabilidad de Controles” (Ver Anexo H). Posteriormente para los controles aplicables se hace una ponderación con el fin de determinar cuán eficaces y maduros son los controles establecidos para mitigar los riesgos identificados, de la siguiente manera:

Ponderación Descripción 5

Los procedimientos y medidas de control están formalizados y siempre son utilizados, aplicados, medidos y monitoreados. Además de ser optimizados periódicamente.



4

Los procedimientos y medidas de control están formalizados y siempre son utilizados, aplicados, medidos y monitoreados.

3

Los procedimientos y medidas de control están formalizados y siempre son utilizados y aplicados

2

Los procedimientos o medidas de control no están formalizados y no siempre son utilizados o aplicados.

1 Se tiene conciencia sobre la necesidad de contar con procedimientos o medidas de control.

0 No se cuenta con políticas o procedimientos.

8. Determinación del riesgo residual y niveles de tolerancia. Para determinar el riesgo residual se hace la ponderación de riesgos y controles en base a los criterios establecidos anteriormente. El riesgo residual es el resultado de la operación:

Riesgo residual = Riesgo Absoluto – Controles. En base al resultado del riesgo residual se establecen los niveles de tolerancia de los riesgos, clasificándolos como:

– “Aceptable” cuando el riesgo residual es menor o igual a 1. – “Tolerable” cuando el riesgo residual es mayor a 1 y menor a 3. – “Por arriba de la tolerancia” cuando el resultado es mayor o igual a 3.

De acuerdo a los niveles de tolerancia derivados del riesgo residual se clasifican los riesgos para los cuales se necesitan medidas correctivas, fortalecimiento o monitoreo de controles de la siguiente forma:

Nivel de tolerancia Descripción

Por arriba de la tolerancia

Hay una fuerte necesidad de medidas correctivas. Un plan de acción correctivo se debe establecer cuanto antes.

Tolerable

Las acciones correctivas son necesarias y un plan debe ser establecido para incorporar estas acciones dentro de un período del tiempo razonable.

Aceptable

Pueden existir oportunidades de mejora en la implementación de los controles y requieren monitoreo.

El registro del cálculo del riesgo residual y los niveles de tolerancia es apoyado por el documento “RT Riesgo Residual y Niveles de Tolerancia” (Ver Anexo I)

v. Priorización y tratamiento del riesgo El objetivo de esta etapa es seleccionar aquellas exposiciones relevantes a los que se enfrenta el Instituto determinando cuales deben ser abordados, basados en la premisa



de que el tiempo y los recursos no son suficientes para poder hacer frente a todos los riesgos, para lo cual el enfoque debe de perseguir la mitigación de los riesgos más grandes a un costo óptimo. Para una adecuada jerarquización se debe de tomar como base el resultado del riesgo residual del Instituto y su nivel de tolerancia (Aceptable, Tolerable y Por arriba de la tolerancia). En base a eso el área de Riesgos valora los riesgos e informa a la Gerencia de Control Interno para que se determine el tratamiento que se le debe dar a cada uno en particular como son:

a. Reducir el riesgo b. Retener el riesgo c. Evadir el riesgo d. Transferir el riesgo

vi. Plan de Tratamiento de Riesgos La mitigación del riesgo consiste en establecer las medidas correctivas inmediatas para proteger los intereses del Instituto en materia tecnológica. A través de la sinergia definida, el área de Riesgo Operacional informa a la Gerencia de Control Interno de la exposición de riesgo, para que de manera conjunta se haga un análisis costo-beneficio y recomiende al área usuaria responsable la implementación los controles necesarios para su mitigación basándose en los criterios de aceptación de riesgo previamente definidos.

vii. Monitoreo La última etapa dentro de la administración de riesgos, es el diseño, implementación y monitoreo de Indicadores como un medio de predicción y seguimiento para definir niveles de ocurrencia de un riesgo. Con los Indicadores se busca medir la efectividad de las actividades de los controles establecidos bajo las características de fácil medición, rápido acceso y alta correlación con el riesgo, reflejando la propia incidencia del riesgo. Los Indicadores estarán alineados a los marcos de referencia de COBIT e ISO/IEC 27001, existiendo diferentes tipos de Indicadores como son:

• Indicadores de desempeño • Indicadores de procesos • Indicadores de metas de TI

Así mismo los Indicadores establecidos deben contar con niveles de tolerancia definidos para detectar cualquier variación en la efectividad de los controles establecidos. Los niveles de tolerancia serán establecidos particularmente para cada Indicador o conjunto de Indicadores relacionados, clasificándolos como aceptable, tolerable e intolerable.



X.Procedimiento del modelo de administración de Rie sgo Tecnológico. La administración de riesgos es un proceso definido y repetible bajo el cual se desarrollan actividades en diferentes etapas permitiendo establecer un análisis de riesgos para activos y procesos determinados bajo el enfoque tecnológico para que se concreten las respuestas a éstos para su mitigación. Asimismo se busca establecer o mejorar los controles, así como, la definición de Indicadores para su monitoreo de acuerdo a las mejores prácticas de los marcos de referencia COBIT 4.1 e ISO/IEC 27001. A Continuación se muestra el procedimiento cíclico de Administración de Riesgo Tecnológico:

1. La Gerencia ROp / Consultor Jr. Riesgo Tecnológico determina los procesos y activos a evaluar de acuerdo el manual normativo de riesgo tecnológico.

2. Una vez determinados los activos relacionados a los procesos a evaluar, la Gerencia ROp / Consultor Jr. Riesgo Tecnológico en conjunto con los dueños de los procesos a nivel medio (principalmente gerentes), realizan el levantamiento de los riesgos mediante cuestionarios o entrevistas identificando amenazas y vulnerabilidades tecnológicas estableciendo las causas, efectos y clasificación del riesgo.

3. Una vez detallada la matriz de riesgos, los dueños de los procesos evalúan los riesgos que afectan la operación de Tecnología de Información bajo un enfoque cualitativo de acuerdo a los parámetros establecidos de frecuencia e impacto.

4. La Gerencia ROp / Consultor Jr. Riesgo Tecnológico realiza la alineación de cada uno de los riesgos identificados con los controles relacionados según COBIT e ISO/IEC 27001 y se evalúa el grado de implementación.

5. La Gerencia ROp / Consultor Jr. Riesgo Tecnológico, con base a los resultados de la evaluación del riesgo inherente y el grado de implementación de los controles relacionados, obtiene los resultados del riesgo residual que sirve como base para poder priorizar los riesgos y de esta forma el Dueño de Proceso podrá desarrollar los planes de tratamiento del riesgo.

6. Los dueños del proceso implementan los planes de tratamiento del riesgo para establecer los controles necesarios para mitigar el riesgo, considerando las implicaciones en recursos y tiempo para poderlos efectuar.

7. La Gerencia ROp / Consultor Jr. Riesgo Tecnológico, define los Indicadores relacionados con algunos riesgos que permitan monitorear la exposición que tiene el Instituto en dicha materia.

8. La Gerencia ROp / Consultor Jr. Riesgo Tecnológico registra en la base de datos las exposiciones e incidencias relacionadas con riesgo tecnológico.

9. La Gerencia ROp / Consultor Jr. Riesgo Tecnológico documenta los resultados obtenidos de la evaluación del riesgo tecnológico incorporando las incidencias ocurridas así como el comportamiento de los Indicadores establecidos para comunicarlo a la Gerencia Sr. de Riesgos y las Subdirecciones Generales.



Procedimiento de gestión de Riesgo Tecnológico

Dueños de Procesos

Área de Riesgo Operacional

1. Establece el contexto de gestión.

2. Identifica los riesgos inherentes, amenazas y vulnerabilidades

3. Evalúa el riesgo inherente.

4. Realiza la alineación de

controles de acuerdo a COBIT 4.1 e

ISO27001:2005

5. Realiza la evaluación del riesgo residual

6. Implementa el tratamiento al

riesgo

7. Monitorea el riesgo

9.Emite el reporte de Riesgo

Tecnológico

INICIO

FIN

8. Registra en base de datos exposiciones e

incidencias



Uno de los principales retos que enfrenta el Instituto para la correcta ejecución del procedimiento del modelo de administración de riesgo tecnológico, está en lograr implantar una verdadera cultura de riesgo operacional y tecnológico, enfocada a la concientización en la importancia del riesgo, así como incentivar a cada una de las áreas del INFONAVIT a comunicar sus propios errores. El principal factor de éxito para tener una correcta administración del riesgo tecnológico, es trabajar bajo una cultura de administración, estableciendo conjuntamente valores, actitudes y comportamientos tanto individuales como corporativos creando un estilo y compromiso firme ante un enfoque de creación de valor a través del riesgo tecnológico. Se debe buscar la vinculación de los objetivos particulares de cada área, asignando responsabilidades de gestión del riesgo y juntar esfuerzos para el control y mitigación con el fin de incentivar hacia una mejor interiorización y difusión de conceptos de administración de riesgos y de Control Interno. Cabe señalar que en caso de contratar a un despacho externo para la ejecución de alguna de las actividades del modelo de Administración de Riesgo Tecnológico, se deberá cumplir como mínimo con esta metodología.

XI.Marco Tecnológico Un requisito esencial y clave para el funcionamiento de un método aceptable para la administración del riesgo tecnológico, es el desarrollo y consolidación de fuentes de Información consistentes, precisas, integras y oportunas, a través de un seguimiento de datos pertinente, puntal y veraz. Este se propone llevar a cabo mediante el registro de la Información de las exposiciones e incidencias, así como el seguimiento de los controles establecidos para el tratamiento y evolución de los riesgos de la siguiente manera: Registro de Exposiciones

La principal fuente de Información sobre las exposiciones de riesgo tecnológico se obtendrá durante la ejecución cíclica de la presente metodología, que deriva en el Mapa de Riesgos Tecnológicos del Instituto. Así mismo durante la revisión de los subprocesos del Instituto, todas aquellas exposiciones derivadas por este tipo de riesgo. La Información de las exposiciones de riesgo deberá de ser: • Proceso • Subproceso • Aplicación o activo • Identificación de amenazas, vulnerabilidades y riesgos de la Información • Clasificación

o Seguridad Informática � Integridad/Disponibilidad / Confidencialidad

o Telecomunicaciones o Infraestructura Tecnológica o Procesos Operativos

• Evaluación



o Probabilidad o Impacto

• Indicador • Nivel de Tolerancia • Control relacionado: COBIT o ISO /IEC 27001

Registro de Incidencias. La principal fuente de Información para el registro de Incidencias por riesgo tecnológico, es la generada por los dueños de los procesos sobre incidentes derivados de la materialización de un riesgo tecnológico. La Información de las Incidencias de riesgo deberá de ser: • Número de Incidencia • Prioridad

o Menor o Bajo o Moderado o Alto o Crítico

• Impacto o Menor o Bajo o Moderado o Alto o Crítico o

• Frecuencia o Remoto o Poco Probable o Probable o Muy Probable o Esperado

• Descripción • Proceso • Responsable • Activo afectado • Riesgo Relacionado • Vulnerabilidad • Amenaza • Nivel de Aceptación • Fecha de registro • Fecha de atención • Fecha de resolución • Fecha de cierre • Control relacionado: COBIT o ISO/IEC 27001 • Actividades derivadas Para el registro de las Incidencias se tendrá el apoyo del documento “RT Layout de Incidencias” (Ver Anexo J).



Seguimiento de Controles. La fuente principal para el seguimiento a los controles se obtiene en la ejecución cíclica de la presente metodología al obteniendo la madurez y eficacia de los controles, el riesgo residual y comparándolo con los niveles de tolerancia establecidos. El seguimiento adecuado de los controles se apoyará de la comparación del documento “RT Riesgo Residual y Niveles de Tolerancia” (Ver Anexo I)

Seguimiento de Indicadores.

La fuente principal para el seguimiento de los Indicadores de los controles relacionados a los riesgos es la generada periódicamente por los dueños de los procesos en donde dependiendo del Indicador o conjunto de Indicadores se requiere de Información precisa, oportuna y medible. El seguimiento adecuado de los Indicadores de riesgo se apoyará del documento “RT Indicadores” (Ver Anexo K)

Los reportes periódicos de Riesgo Tecnológico serán incluidos dentro del Reporte de Riesgo Operacional, dónde se revelará el seguimiento de las exposiciones, incidencias, e Indicadores de riesgo.



XII.Anexos

a. Anexo A.

Nombre del Puesto Gerencia de Riesgo Operacional Objetivo Dirigir, establecer, planear, administrar, coordinar, establecer, asegurar y

evaluar la gestión de los riesgos no discrecionales (operacional, legal y tecnológico) inherentes a las operaciones del Instituto a través del diseño e implementación de estrategias de gestión, metodologías, técnicas, modelos estadísticos de medición, sistemas de Información y bases de datos necesarios para dar cumplimiento al marco regulatorio de la CNBV a fin de proteger la viabilidad financiera del Instituto.

Responsabilidades 1.- Establecer, coordinar y dirigir las acciones, políticas, lineamientos o procedimientos que permitan permear una cultura y filosofía de riesgos no discrecionales (operacionales, legales, tecnológicos y estratégicos) en el Instituto a través de diversas estrategias de comunicación, capacitación o sinergias con otras área para crear conciencia en cada uno de los integrantes de la estructura organizacional proporcionando disciplina y organización con la finalidad de fomentar un análisis estratégico donde la gestión de riesgos se convierta en una ventaja competitiva para el Instituto. 2.- Establecer y dirigir las estrategias apegadas a la administración integral del riesgo no discrecional (operacionales, legales, tecnológicos y estratégicos) tanto cualitativas como cuantitativas, a través de la definición de metodologías de identificación, evaluación, determinación del apetito de riesgo así como los niveles de tolerancia autorizados por el H. Consejo de Administración, control y monitoreo con la finalidad de apoyar en la toma de decisiones oportuna en el Instituto de acuerdo a las mejores prácticas internacionales. 3.- Determinar y evaluar los eventos de riesgo potenciales que, puedan afectar al Infonavit en la operación así como en la implantación de la estrategia impidiendo el logro de los objetivos estratégicos del Instituto a través de la definición de técnicas cuantitativas y metodologías eficientes y automatizadas para que se puedan tomar las medidas necesarias para poder revertir el posible impacto y asegurar la viabilidad financiera del Instituto. 4.- Determinar, dirigir, coordinar y establecer las estrategias de evaluación tanto cualitativo como cuantitativo bajo estándares de mejores prácticas para la gestión integral del Riesgo no discrecionales (operacionales, legales, tecnológicos y estratégicos) con cada una de las áreas del Instituto relacionadas a través del seguimiento del Mapa de Riesgos, con la finalidad de que apoyen a la toma de decisiones oportuna en el Infonavit y comunicar los resultados correspondientes al Comité de Riesgos y al Comité de Auditoría y proponer respuestas al riesgo 5.- Determinar, establecer y propiciar que los riesgos expuestos en los procesos identificados por las diferentes áreas del Instituto, se implementen las acciones correspondientes para responder al riesgo con la finalidad de evaluar su efecto sobre la probabilidad e impacto, así como los costos beneficios para poder situar el riesgo residual dentro de las tolerancias al riesgo establecidas por el H. Consejo de Administración y asegurar la viabilidad financiera del Instituto. 6.- Coordinar, determinar, delegar y establecer la distribución de Información a través de los Estados Financieros, reportes a la Asamblea, a



diversos Comités y requerimientos especiales que divulgue la situación del riesgo no discrecional (operacional, legal, tecnológico y estratégicos) en el Infonavit con la finalidad de facilitar la gestión de los riesgos y la toma de decisiones. 7.- Determinar, dirigir, coordinar y conducir el desarrollo e implementación de la estrategia dirigida a la ejecución de la administración de riesgos no discrecionales (operacionales, legales, tecnológicos y estratégicos) enfocados hacia un marco estándar internacional como COBIT, COSO y BASILEA con la finalidad dar cumplimiento a las disposiciones regulatorias de la CNBV y mantener a la vanguardia al Instituto en la gestión de este tipo de riesgos permitiendo protegerlo de cualquier exposición y evitar poner en riesgo el patrimonio del Instituto.

Nombre del Puesto Consultor Jr. Administración del Riesgo Operacional

Objetivo Coordinar, desarrollar, asegurar, propiciar las actividades necesarias para identificar, evaluar, controlar e informar los diferentes riesgos a los que se encuentra expuesta el Instituto en materia de administración de riesgos no discrecionales y riesgos estratégicos, mediante el desarrollo e instrumentación de los sistemas de gestión y modelos cuantitativos y cualitativos necesarios para el seguimiento y control de estos riesgos y conforme a los procesos institucionales y las regulaciones externas a fin de contar con los elementos necesarios que permita a las áreas, a la Dirección General, al Comité de Riesgos, H. Consejo de Administración tomar las decisiones que correspondan así como proteger la viabilidad financiera del Instituto.

Responsabilidades 1. Administrar, comunicar, establecer, evaluar los riesgos no discrecionales a los que están expuestos los diferentes procesos de las áreas del Instituto con la finalidad de controlar, comunicar y asegurar que se implementen las acciones necesarias de respuesta al riesgo para evitar pérdidas económicas al Instituto y pongan en riesgo su viabilidad financiera.

2. Asesorar, propiciar, recomendar y aprobar que las políticas, procedimientos, lineamientos y manuales publicados internamente en ARA/CNOI no tengan inherentes riesgos no discrecionales con la finalidad de que se establezcan las acciones necesarias para mitigar y evitar pérdidas económicas.

3. Coordinar, verificar, controlar, dictar y asegurar mediante políticas la Información registrada por eventos de riesgos no discrecionales sea oportuna, veraz y consistente para la adecuada creación, explotación y aplicación de las bases de datos que se emplean para el cálculo de pérdida esperada e inesperada necesaria para proteger cualquier desviación y ponga en riesgo la viabilidad financiera del Instituto.

4. Diseñar, determinar y establecer las estrategias de evaluación tanto cualitativa como cuantitativa bajo estándares de mejores prácticas para la gestión integral del Riesgo no discrecionales (operacionales y legal) con cada una de las áreas del Instituto relacionadas a través del seguimiento del Mapa de Riesgos que apoyen a la toma de decisiones oportuna en el Infonavit. Así mismo, comunicar los resultados correspondientes al Comité de Riesgos y al Comité de Auditoría y proponer respuestas al riesgo.

5. Establecer, coordinar, proporcionar y comunicar Información de los riesgos no discrecionales (operacional, legal, tecnológico y estratégicos) y sus niveles de tolerancia a través de la extracción y



procesamiento de Información de diversas bases de datos a fin de presentar a la Dirección General, Comité de Auditoría y Comité de Riesgos informes con los resultados que muestren el estado que guarda el Instituto en este tipo de riesgos que orienten la toma de decisiones.

6. Planear, coordinar, desarrollar, asesorar y evaluar cada una de las actividades necesarias para llevar a cabo la actualización del Mapa de Riesgos Institucional necesario para detectar aquellos riesgos que pongan en riesgo la estrategia y objetivos del Instituto y de esta forma se establezcan las respuestas al riesgo necesarias para controlarlas.

Nombre del Puesto Consultor Jr. Riesgo Tecnológico Objetivo Coordinar y asegurar adecuadamente la administración del riesgo

tecnológico en el INFONAVIT a través de coadyuvar con la SG Innovación y Calidad, Control Interno y Auditoría Interna en el proceso de identificación, evaluación, control y mitigación en los diversos riesgos inherentes a los sistemas informáticos institucionales. Así mismo participar con las áreas involucradas en determinar los lineamientos, políticas y procedimientos necesarios para administrar el Riesgo Tecnológico de acuerdo a las disposiciones de la CNBV y las mejores prácticas con la finalidad de prever posibles fallas o problemas que traigan consigo pérdidas económicas y reputacionales desvirtuando la viabilidad financiera del Instituto.

Responsabilidades 1. Diseñar, desarrollar e implementar el manual normativo que contribuya en la administración integral del riesgo tecnológico que a través de la definición de políticas, lineamientos, procedimientos y óptimos métodos de evaluación del riesgo permitan una efectiva organización entre las diversas áreas involucradas para cumplir con las disposiciones que enmarca la CNBV y proteger el patrimonio institucional.

2. Mantener actualizada las bases de datos por eventos de riesgos tecnológicos para la medición de reservas necesarias y capital económico requerido para hacer frente a las contingencias presentadas dentro del Instituto y salvaguardar la viabilidad financiera del Instituto.

3. Evaluar y determinar la vulnerabilidad expuesta que puedan generar riesgos que perjudiquen la disponibilidad de la Información en el normal desarrollo de las operaciones del Instituto a través del establecimiento de medios o sistemas de Información que alerten al administrador sobre nuevas exposiciones de pérdida con base a la Información generada por la SG Innovación y Calidad y otros órganos revisores con el fin de proteger los recursos informáticos en el hardware, software, aplicaciones, seguridad, redes, medios de almacenamiento y recuperación de Información por fallas en procedimientos, capacidades inadecuadas, insuficiencias de los controles instalados, entre otros.

4. Recomendar mecanismos correctivos y preventivos para la mitigación de los riesgos tecnológicos identificados con el fin de establecer bases adecuadas para una correcta implementación y funcionamiento de los controles internos en el ambiente tecnológico.

5. Asegurar la documentación de políticas y procedimientos donde certifiquen el nivel de calidad de servicio, seguridad e integridad de la Información, los mecanismos que midan los niveles de disponibilidad y tiempos de respuesta que garanticen la adecuada ejecución de las operaciones y servicios así como las medidas de control que aseguren la confiabilidad en la generación, almacenamiento , transmisión y recepción de las claves de identificación y acceso, garantía en la



protección, seguridad y confidencialidad de la Información, respaldo y recuperación de la Información que se genere respecto a cada una de las operaciones del Instituto emitidos por las áreas responsables para sustentar el patrimonio del Instituto y dar cumplimiento a las disposiciones en materia de riesgo tecnológico emitidas por la CNBV.

6. Establecer y monitorear los niveles de tolerancia de exposición al riesgo tecnológico con el fin de administrar el riesgo residual o aceptable que no afecte o ponga en riesgo la viabilidad financiera del Instituto.

7. Comunicar al Comité de Riesgos el estado que guarda el Instituto en materia de riesgo tecnológico de acuerdo a cada uno de los sistemas de Información administrados en cada una de las Subdirecciones Generales así como de los diversos procesos inherentes de acuerdo a los niveles de tolerancia autorizados con el fin de una toma de decisión apropiada para la protección del patrimonio del INFONAVIT.

8. Contribuir en el análisis de impacto de procesos y funciones críticas del negocio a través de la aplicación de métodos de valuación de impactos cualitativos y cuantitativos con la finalidad de priorizar los requerimientos de disponibilidad y recuperación de procesos para la definición del Plan de Continuidad de Negocio y del Plan de Recuperación de Desastres en el INFONAVIT de acuerdo a las mejores prácticas internacionales y las disposiciones regulatorias.

b. Anexo B. A través del Capítulo IV: Administración de Riesgos, Sección Cuarta, Apartado B, artículo 86, apartado III, inciso b de la Circular Única de la Comisión Nacional Bancaria y de Valores, las instituciones deberá como mínimo desarrollar las siguientes funciones de la administración del riesgo tecnológico:

1. Evaluar la vulnerabilidad en el HW, SW, sistemas, aplicaciones, seguridad, recuperación de Información y redes, por errores en el procesamiento u operativos, fallas en procesamientos, capacidades inadecuadas e insuficientes de los controles instalados, entre otros.

2. Considerar en la implementación de controles internos, cuando menos en los siguientes aspectos: i. Mantener políticas y procedimientos que aseguren en todo momento el

nivel de calidad de servicio y la seguridad e integridad de la Información; lo anterior con especial énfasis cuando el Instituto contrate la prestación de servicios por parte de proveedores externos para el procesamiento y almacenamiento de dicha Información.

ii. Asegurar que cada operación o actividad realizada por los usuarios deje constancia electrónica que conforme registros de auditoría.

iii. Implementar mecanismos que midan y aseguren niveles de disponibilidad y tiempos de respuesta, que garanticen la adecuada ejecución de las operaciones y servicios realizados por el Instituto.

3. En caso de mantener canales de distribución para operaciones bancarias con clientes realizadas a través de la red electrónica mundial denominada Internet, cajeros automáticos, banca electrónica, sucursales, entre otros, deberán en lo conducente:



i. Establecer medidas y controles necesarios que permitan asegurar confidencialidad en la generación, almacenamiento, transmisión y recepción de las claves de identificación y acceso para los usuarios.

ii. Implementar medidas de control que garanticen la protección, seguridad y confidencialidad de la Información generada por la realización de operaciones bancarias a través de cualquier medio tecnológico.

iii. Contar con esquemas de control y políticas de operación, automatización y acceso a los sistemas, bases de datos y aplicaciones implementadas para la realización de operaciones bancarias a través de cualquier medio tecnológico.

iv. Incorporar los medios adecuados para respaldar y, en su caso, recuperar la Información que se genere respecto de las operaciones bancarias que se realicen a través de cualquier medio tecnológico.

v. Diseñar planes de contingencia, a fin de asegurar la capacidad y continuidad de los sistemas implementados para la celebración de operaciones bancarias, a través de cualquier medio tecnológico.

vi. Establecer mecanismos para la identificación y resolución de aquellos actos o eventos que pueden generarle a la Institución, riesgos derivados de:

vi.1. Comisión de hechos, actos u operaciones fraudulentas a través de medios tecnológicos. vi.2. Contingencias generadas en los sistemas relacionados con los servicios bancarios prestados y operaciones celebradas a través de cualquier medio tecnológico. vi.3. El uso inadecuado por parte de los usuarios de los canales de distribución antes mencionados, para operar con la Institución, a través de los medios citados en el presente artículo.

c. Anexo C. “RT Identificación de Riesgos”

RT Identificacion de riesgos.xlsx

d. Anexo D. “RT Inventario de activos”

RT Inventario.xlsx

e. Anexo E. “RT Catálogo de amenazas”

RT Catálogo de amenazas.xlsx



f. Anexo F. “RT Catálogo de vulnerabilidades”

RT Catálogo de vulnerabilidades.xlsx

g. Anexo G. “RT Análisis de riesgos”

RT Análisis de Riesgos.xlsx

h. Anexo H. “RT Análisis de riesgos”

RT Aplicabilidad de Controles.xls

i. Anexo I.” RT Riesgo Residual y Niveles de Tolera ncia”

RT Riesgo Residual y Niveles de Tolerancia.xlsx

j. Anexo J.” RT Layout de Incidencias”

RT Layout de Incidencias.xls

k. Anexo K.” RT Indicadores”

RT Indicadores.xlsx

Documents

ManualNormativodeRiesgoTecnologico